#Security: Vom Ködern und Fischen

5. Oktober 2022, 09:39
  • kolumne
  • cybercrime
  • #security
image
Cornelia Puhze.

Der Faktor Mensch wird oft als grösstes Sicherheitsrisiko bezeichnet, aber selten wirksam adressiert. Das schreibt Cornelia Puhze von Switch in ihrer aktuellen Kolumne.

Es ist Cybersecurity Month und wir aus der IT-Security Bubble versuchen, Nutzerinnen und Nutzer einen Monat lang lauter als sonst für sicheres Verhalten zu motivieren. Das ist gut so, denn laut Verizon Data Breach Investigations Report wurden 2022 84% der Datenabflüsse von Mitarbeitenden verursacht. Die Informationssicherheits-Branche hat sich so professionalisiert, dass es inzwischen viel einfacher ist, Menschen statt IT-Systeme zu hacken. Wir brauchen also nicht nur Fachleute, die Systeme sichern können. Wir brauchen auch Fachleute, deren methodisches Handwerk es ist, Menschen zu sensibilisieren, Wissen zu vermitteln, ihre Einstellung und im besten Fall ihr Verhalten zu ändern.
Dieses Handwerk ist interdisziplinär: Es gründet in der Psychologie, Pädagogik, Kommunikation und im Marketing. 72% der Verantwortlichen für IT Security Awareness haben jedoch einen rein technischen Hintergrund und haben sich nur bedingt Wissen aus diesen Fachgebieten angeeignet (SANS Security Awareness Report 2022). Als eine der restlichen 28% habe ich vier praktische Grundsätze zusammengestellt, die sich in meinen 15 Jahren Kommunikationserfahrung bewährt haben.

1. Der Köder muss dem Fisch schmecken

Wen will ich erreichen? Es gibt viele Begriffe mit leicht unterschiedlichen Bedeutungen im Marketing und in der Kommunikation: Zielgruppen, Stakeholder oder Anspruchsgruppen. Vereinfacht gesagt: Mit wem rede ich? Meistens mit mehr als einer Gruppe, oft mit sehr unterschiedlichem Hintergrund.
Bevor ich eine Massnahme plane, überlege ich mir, wen genau ich informieren, zu einer Aktion motivieren oder sogar langfristig zur Verhaltensänderung bewegen möchte. Jede Gruppe wird in der Regel anders angesprochen, um die Botschaften möglichst so zu kommunizieren, dass sie verstanden und auch angenommen werden.
Anders gesagt: Der Köder muss dem Fisch schmecken. Wenn ich als Anglerin statt des fetten Wurms lieber die schlechte Attrappe verwende, kümmert das den Fisch nicht. Er wird schlicht nicht anbeissen. Klar ist es dann das einfachste, den Fisch zu beschuldigen, weil das dumme Viech vorbeischwimmt. Letztlich will aber doch ich etwas vom Fisch. Also hilft es mir, mich doch mal mit seinen Futtervorlieben auseinanderzusetzen.
Es gibt aufwendige, professionelle Verfahren, um herauszufinden, welchem Fisch welcher Köder mundet. Ein einfaches Rezept: sich eine Person vorstellen, deren Hintergrund ich kenne, weiss wie ihr Alltag aussieht. Je konkreter, desto besser.

2. Am Anfang steht das "Warum"

Eine neue Richtlinie ist kein motivierender Grund, sein Verhalten zu ändern. Die Richtlinie wird ja auch nicht um ihrer selbst willen implementiert, sondern dient dem eigentlichen Ziel, die Organisation, das Kernbusiness zu schützen.
Warum ist Ihr Kernbusiness wichtig? Wie verändern die Mitarbeitenden im Kleinen die Welt? Welche Probleme lösen sie als Organisation? In einer positiven Organisationskultur sind Mitarbeitende stolz auf den kleinen Beitrag, den sie zum grossen Ganzen leisten und erachten ihre Arbeit als sinnvoll. Wenn die neue Sicherheitsrichtlinie von diesem "Warum" abgeleitet wird, kann sie eher als Teil der Arbeit, als Teil des grossen Ganzen eingeordnet werden. Und damit stehen die Chancen besser, dass sie umgesetzt wird.
Simon Sinek, Autor des Marketingklassikers "Start With Why", beschreibt das in seinem Ted Talk "How great leaders inspire action". Das Konzept nennt er den Golden Circle. Er fängt beim Kern an und kommuniziert nach Aussen: Why, how, what. Ein einfaches Rezept, das sich als Leitfaden verwenden lässt.

3. Welche Sprache sprechen wir eigentlich?

Nicht Englisch, Deutsch oder Französisch sind hier gemeint, sondern Sprache als Grundlage unserer Kommunikation, Kultur und Identität. Teenager auf einer Party, Fachleute in Forschungsgruppen, Politikerinnen und Politiker im Bundesrat sprechen vielleicht alle Deutsch, aber doch mit anderem Klang, anderen Gesten und anderen Begriffen. Über Sprache definieren wir uns als Teil einer Gruppe, einer Kultur. Wie wir mit wem sprechen, passiert meist unterbewusst und folgt dem Grundbedürfnis, dazuzugehören.
Jede Organisation hat eine eigene Sprache, eine eigene Kultur, ein eigenes "Wir". Siezen Sie Ihre Mitarbeitenden? Wie viele Begriffe gibt es in Ihrem Unternehmen, die für Aussenstehende keine Bedeutung haben? Benutzen Sie Humor oder sind Meldungen eher ernst und sachlich? Liegt eine starke hierarchische Struktur vor oder ist es ok, sich direkt an Vorgesetzte zu wenden? Wie wir die Botschaften in Sprache verpacken, damit sie aufgenommen und gehört werden, kommt genau darauf an.
Sind Sie Teil eines stark konservativen Unternehmens, würden Sie die Intranetmeldung zu den angepassten Passwortregeln höchst wahrscheinlich nicht mit einem Witz starten und auch kein lustiges Meme als Eyecatcher hinzufügen. Sie würden vielmehr einen sachlichen Text mit wenig Ausrufezeichen verfassen.

4. Verhaltensänderung ist die absolute Kür

"Warum machen die das immer noch nicht? Wir haben doch schon 2 E-Mails geschrieben, es gibt dazu ein eLearning Modul und die Tests!" Nun ja, die Verhaltensforschung hätte da die eine oder andere Erklärung. Ein spannendes, interdisziplinäres Feld, das nicht zu meinem Fachgebiet gehört. Trotzdem wage ich mich aus der Kommunikationsperspektive heran.
Wer Kampagnen professionell aufgleist und führt, weiss: Verhalten zu ändern ist die absolute Kür und braucht unglaublich viele Ressourcen und noch mehr Zeit. Schauen Sie sich das viel benutzte Beispiel der Einführung des Sicherheitsgurtes an. Es hat jahrelange gut finanzierte Kampagnen und dann doch ein Gesetz gebraucht, um Autofahrerinnen und Autofahrer davon zu überzeugen, sich anzuschnallen. Und da ging es sogar noch ums eigene Leben. Auf dem langen Weg zur Verhaltensänderung gibt es einige Stationen. Vereinfacht zusammengefasst:
  • Sensibilisieren: Es gibt ein Problem und das tangiert auch dich.
  • Informieren: Was ist das Problem und wie tangiert es dich?
  • Einstellung verändern: Du ziehst folgenden Nutzen daraus, wenn du dein Verhalten gemäss Vorschlag anpasst.
  • Verhalten verändern: Wir stellen dir Wege und Tools zur Verfügung, die das gewünschte Verhalten einfach machen und deinen Alltag unterstützen.
Und zu guter Letzt: Selbst wenn wir es besser wissen, sind wir manchmal faul und inkonsequent. Oder wie oft trinken Sie eine Cola oder ein zweites Bier, obwohl sie diese Woche eigentlich auf ihre Gesundheit achten wollten? Da hilft nur eins: Verständnis – oder den Köder noch schmackhafter machen.
Über die Autorin
Cornelia Puhze ist IT-Security-Awareness-Spezialistin bei Switch. Als Teil von Switch-Cert unterstützt sie die Schweizer Bildungs-, Forschungs- und Innovationsgemeinschaft den "Faktor Mensch" in der Informationssicherheit wirksam zu adressieren. Gerüstet mit einem MA in Political Communications, lernte sie ihr Handwerk in Privatwirtschaft, öffentlichem Sektor und NGOs in Zürich und London.

Zu dieser Kolumne

Die Kolumne von Switch #security über Sicherheit erscheint 6 mal jährlich. Die Autoren und Autorinnen äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch decken muss.

Loading

Mehr zum Thema

image

SATW insights: Der geringe Frauen­anteil in der IT ist proble­matisch

Der Frauenanteil in der IT verharrt in der Schweiz auf tiefem Niveau. In ihrer Kolumne erklärt Iris Hunkeler, warum das ein Problem ist und wie sich das ändern könnte.

publiziert am 1.12.2022
image

Mutmasslicher Cyberangriff auf den Vatikan

Russische Hacker sollen verschiedene Websites des Zwergstaates angegriffen haben, weil der Papst den Angriffskrieg in der Ukraine als "grausam" bezeichnete.

publiziert am 1.12.2022
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022
image

Prantl behauptet: Wachstum geht auch ohne neues Personal

Die Rahmenbedingungen für überdurchschnittliches Wachstum sind nahezu perfekt, aber viele Unternehmer behaupten, ohne zusätzliches Personal sei dies gar nicht möglich. Kolumnist Urs Prantl behauptet das Gegenteil.

publiziert am 29.11.2022